ځینې وختونه تاسو واقعیا غواړئ د ویروس لیکوال سترګو ته وګورئ او پوښتنه وکړئ: ولې او ولې؟ موږ کولی شو پخپله "څنګه" پوښتنې ته ځواب ووایو ، مګر دا به خورا په زړه پوري وي چې ومومئ چې دا یا هغه مالویر جوړونکی څه فکر کوي. په ځانګړي توګه کله چې موږ د داسې "موتی" سره مخ شو.
د نن ورځې مقالې اتل د کریپټوګرافر یوه زړه پورې بیلګه ده. دا په ښکاره ډول د یو بل "ransomware" په توګه تصور شوی و، مګر د دې تخنیکي تطبیق د یو چا ظالمانه ټوکې په څیر ښکاري. موږ به نن د دې پلي کولو په اړه وغږیږو.
له بده مرغه، د دې کوډګر د ژوند دوره موندل تقریبا ناممکن دي - په دې اړه خورا لږ احصایې شتون لري، ځکه چې له نېکه مرغه، دا پراخه شوې نه ده. له همدې امله، موږ به اصلي، د انفیکشن میتودونه او نور حوالې پریږدو. راځئ چې یوازې زموږ سره د ناستې د قضیې په اړه وغږیږو Wulfric Ransomware او موږ څنګه د کارونکي سره د هغه فایلونو خوندي کولو کې مرسته وکړه.
I. دا هر څه څنګه پیل شول
هغه خلک چې د ransomware قرباني شوي اکثرا زموږ د ویروس ضد لابراتوار سره اړیکه نیسي. موږ مرسته چمتو کوو پرته له دې چې کوم انټي ویروس محصولات نصب کړي. دا ځل موږ د یو چا لخوا اړیکه ونیول شوه چې فایلونه یې د نامعلوم کوډر لخوا اغیزمن شوي.
بعد له غرمه مو پخیر فایلونه د پټنوم پرته ننوتلو سره د فایل ذخیره (samba4) کې کوډ شوي. زه شکمن یم چې انفیکشن زما د لور کمپیوټر څخه راغلی (وینډوز 10 د معیاري وینډوز مدافع محافظت سره). له هغې وروسته د لور کمپیوټر نه و فعال شوی. فایلونه په عمده توګه .jpg او .cr2 کوډ شوي دي. د کوډ کولو وروسته د فایل توسیع: .aef.
موږ د کارونکي څخه د کوډ شوي فایلونو نمونې ترلاسه کړې، د تاوان یادښت، او یو فایل چې احتمال لري کلیدي وي چې د ransomware لیکوال د فایلونو د کوډ کولو لپاره اړین دی.
دلته زموږ ټولې نښې دي:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
راځئ چې یادښت ته یو نظر وکړو. دا ځل څومره bitcoins؟
ژباړه:
پاملرنه، ستاسو فایلونه کوډ شوي دي!
پټنوم ستاسو د کمپیوټر لپاره ځانګړی دی.د Bitcoin پتې ته د 0.05 BTC اندازه ورکړئ: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
د تادیې وروسته، ما ته یو بریښنالیک واستوئ، د pass.key فایل سره ضمیمه کړئ [ایمیل خوندي شوی] د تادیې خبرتیا سره.د تایید وروسته، زه به تاسو ته د فایلونو لپاره یو ډیکریپټر ولیږم.
تاسو کولی شئ د بټکوین آنلاین لپاره په بیلابیلو لارو تادیه وکړئ:
- د بانک کارت له لارې تادیه
د Bitcoins په اړه:
که تاسو کومه پوښتنه لرئ، مهرباني وکړئ ما ته ولیکئ [ایمیل خوندي شوی]
د بونس په توګه، زه به تاسو ته ووایم چې ستاسو کمپیوټر څنګه هیک شوی او په راتلونکي کې یې څنګه ساتل کیږي.
یو مغرور لیوه، د دې لپاره ډیزاین شوی چې قرباني د وضعیت جديت وښيي. په هرصورت، دا کیدای شي بدتر وي.
وريجې. 1. د بونس په توګه، زه به تاسو ته ووایم چې څنګه په راتلونکي کې ستاسو کمپیوټر خوندي کړئ. -اصل معلوميږي.
II. راځه چي پیل یی کړو
له هرڅه دمخه ، موږ د لیږل شوي نمونې جوړښت ته ګورو. په عجیبه توګه، دا د فایل په څیر نه ښکاري چې د ransomware لخوا خراب شوی وي. د هیکساډیسیمل مدیر خلاص کړئ او یو نظر وګورئ. لومړی 4 بایټس د اصلي فایل اندازه لري، راتلونکي 60 بایټونه له صفر څخه ډک شوي. خو تر ټولو په زړه پورې خبره په پای کې ده:
وريجې. 2 خراب شوی فایل تحلیل کړئ. څه سمدلاسه ستاسو سترګې نیسي؟
هرڅه په ځورونکي ډول ساده وګرځیدل: د سرلیک څخه 0x40 بایټونه د فایل پای ته لیږدول شوي. د معلوماتو بیرته راګرځولو لپاره، په ساده ډول یې پیل ته بیرته راګرځوئ. فایل ته لاس رسی بیرته راګرځیدلی، مګر نوم یې کوډ شوی دی، او شیان ورسره پیچلي کیږي.
وريجې. 3. په Base64 کې کوډ شوی نوم د کرکټرونو د راټولولو سیټ په څیر ښکاري.
راځئ هڅه وکړو چې دا معلومه کړو pass.keyد کارن لخوا سپارل شوی. پدې کې موږ د ASCII حروفونو 162-بایټ ترتیب ګورو.
وريجې. 4. د قرباني په کمپیوټر کې 162 کرکټرونه پاتې دي.
که تاسو له نږدې وګورئ، تاسو به وګورئ چې سمبولونه د یوې ټاکلې فریکونسۍ سره تکرار شوي. دا کیدای شي د XOR کارول په ګوته کړي، کوم چې د تکرار لخوا مشخص شوی، د هغې فریکوینسي چې د کلیدي اوږدوالی پورې اړه لري. د تار په 6 حروفونو ویشلو او د XOR ترتیبونو ځینې ډولونو سره XOR شوي، موږ هیڅ معنی لرونکې پایله ترلاسه نه کړه.
وريجې. 5. په منځ کې تکراري ثابتې وګورئ؟
موږ پریکړه وکړه چې ګوګل ثابته کړو، ځکه چې هو، دا هم ممکنه ده! او دوی ټول په نهایت کې د یو الګوریتم لامل شوي - د بیچ کوډ کول. د لیکنې له مطالعې وروسته څرګنده شوه چې زموږ کرښه د خپل کار له پایلې پرته بل څه نه ده. دا باید یادونه وشي چې دا په بشپړ ډول کوډ کوونکی ندی، مګر یوازې یو کوډ کوونکی دی چې د 6-بایټ ترتیبونو سره حروف بدلوي. ستاسو لپاره هیڅ کیلي یا نور رازونه نشته :)
وريجې. 6. د نامعلوم لیکوالۍ د اصلي الګوریتم یوه ټوټه.
الګوریتم به کار ونکړي لکه څنګه چې باید د یو تفصیل لپاره نه وي:
وريجې. 7. Morpheus تصویب.
د ریورس بدیل په کارولو سره موږ تار له دې څخه بدلوو pass.key د 27 حروفو په متن کې. د انسان (ډیری احتمال) متن 'اسمودات' د ځانګړې پاملرنې مستحق دی.
انځور 8. USGFDG=7.
ګوګل به بیا زموږ سره مرسته وکړي. د لږ لټون وروسته، موږ په GitHub - فولډر لاکر کې په زړه پورې پروژه ومومئ، په .Net کې لیکل شوي او د بل Git حساب څخه د 'asmodat' کتابتون په کارولو سره.
وريجې. 9. د فولډر لاکر انٹرفیس. ډاډ ترلاسه کړئ چې د مالویر لپاره وګورئ.
افادیت د وینډوز 7 او لوړ لپاره یو کوډ کونکی دی ، کوم چې د خلاصې سرچینې په توګه توزیع شوی. د کوډ کولو پرمهال ، یو پټنوم کارول کیږي ، کوم چې د راتلونکي کوډ کولو لپاره اړین دی. تاسو ته اجازه درکوي دواړه د انفرادي فایلونو او بشپړ لارښودونو سره کار وکړئ.
د دې کتابتون په CBC حالت کې د Rijndael symmetric encryption algorithm کاروي. دا د یادونې وړ ده چې د بلاک اندازه د 256 بټونو لپاره غوره شوې وه - د AES معیار کې منل شوي برعکس. په وروستي کې، اندازه د 128 بټونو پورې محدوده ده.
زموږ کیلي د PBKDF2 معیار سره سم تولید شوې. په دې حالت کې، پټنوم SHA-256 دی چې په یوټیلیټ کې داخل شوي تار څخه دی. ټول هغه څه چې پاتې دي د ډیکریپشن کیلي رامینځته کولو لپاره د دې تار موندل دي.
ښه، راځئ چې زموږ دمخه کوډ شوي ته بیرته راشو pass.key. دا کرښه د شمیرو سیټ او متن 'asmodat' سره په یاد ولرئ؟ راځئ چې د فولډر لاکر لپاره د پټنوم په توګه د تار لومړی 20 بایټس کارولو هڅه وکړو.
وګورئ، دا کار کوي! د کوډ کلمه راپورته شوه، او هرڅه په سمه توګه وپیژندل شول. په پټنوم کې د حروفونو قضاوت کول، دا په ASCII کې د یوې ځانګړې کلمې HEX استازیتوب کوي. راځئ هڅه وکړو چې د کوډ کلمه د متن په بڼه ښکاره کړو. موږ ترلاسه کووسایه والف'. لا دمخه د lycanthropy نښې احساس کوئ؟
راځئ چې د اغیزمن شوي فایل جوړښت ته یو بل نظر وکړو، اوس پوهیږو چې لاکر څنګه کار کوي:
- 02 00 00 00 - د نوم کوډ کولو حالت؛
- 58 00 00 00 - د کوډ شوي او بیس64 کوډ شوي فایل نوم اوږدوالی؛
- 40 00 00 00 - د لیږدول شوي سرلیک اندازه.
پخپله کوډ شوی نوم او لیږدول شوي سرلیک په ترتیب سره په سور او ژیړ کې روښانه شوي.
وريجې. 10. کوډ شوی نوم په سور کې روښانه شوی، لیږدول شوی سرلیک په ژیړ کې روښانه شوی.
اوس راځئ چې د هیکساډیسیمل نمایش کې کوډ شوي او کوډ شوي نومونه پرتله کړو.
د کوډ شوي ډیټا جوړښت:
- 78 B9 B8 2E - کثافات چې د یوټیلیټ لخوا رامینځته شوي (4 بایټ)؛
- 0С 00 00 00 - د کوډ شوي نوم اوږدوالی (12 بایټ)؛
- بل د اصلي فایل نوم او پیډینګ د صفر سره اړین بلاک اوږدوالي (پډینګ) ته راځي.
وريجې. 11. IMG_4114 ډیر ښه ښکاري.
III. پایله او پایله
بیرته پیل ته. موږ نه پوهیږو چې د Wulfric.Ransomware لیکوال څه هڅولی او کوم هدف یې تعقیب کړی. البته، د اوسط کارونکي لپاره، حتی د داسې یو کوډ کولو کار پایله به د لوی ناورین په څیر ښکاري. فایلونه نه خلاصیږي. ټول نومونه ورک دي. د معمول عکس پر ځای په سکرین کې لیوه شتون لري. دوی تاسو مجبوروي چې د bitcoins په اړه ولولئ.
ریښتیا، دا ځل، د "ویرونکي کوډډر" تر پوښښ لاندې، د غصب لپاره داسې مسخره او احمقانه هڅه پټه شوې وه، چیرې چې بریدګر چمتو شوي پروګرامونه کاروي او د جرم په ډګر کې کیلي پریږدي.
په لاره کې، د کلیدونو په اړه. موږ یو ناوړه سکریپټ یا ټروجن نه درلود چې موږ سره مرسته وکړي پوه شو چې دا څنګه پیښ شوي. pass.key - هغه میکانیزم چې له مخې یې فایل په اخته کمپیوټر کې څرګندیږي نامعلوم پاتې دی. مګر، زما په یاد دي، لیکوال د هغه په یادښت کې د پټنوم ځانګړتیا یادونه کړې. نو، د ډیکریپشن لپاره د کوډ کلمه هغومره ځانګړې ده لکه څنګه چې د کارن نوم سیوري لیوه بې ساري ده :)
او بیا هم، سیوري لیوه، ولې او ولې؟
سرچینه: www.habr.com